VPN Peers & Clients
Peers einrichten
Was ist ein Peer?
Ein Peer ist ein WireGuard-Endpunkt — ein Gerät oder Server das über den VPN-Tunnel mit GateControl verbunden ist. Jeder Peer bekommt eine eigene IP-Adresse im WireGuard-Subnetz (Standard: 10.8.0.0/24).
Peer erstellen (Server-Seite)
- Navigiere zu Peers in der Sidebar
- Klicke Add Peer (oder den + Button auf Mobile)
- Fülle aus:
- Name: Ein beschreibender Name (z.B. "NAS Zuhause", "Server Büro")
- DNS: DNS-Server für den Client (Standard:
1.1.1.1, 8.8.8.8) - Persistent Keepalive: Halte die Verbindung aktiv, empfohlen
25Sekunden für NAT-Szenarien - Ablaufdatum: Optional — Peer wird automatisch deaktiviert nach Ablauf
- Gruppe: Optional — organisiere Peers nach Team, Standort oder Zweck
- Klicke Save
GateControl generiert automatisch:
- Privaten Schlüssel (verschlüsselt in der Datenbank gespeichert)
- Öffentlichen Schlüssel
- Preshared Key (zusätzliche Verschlüsselungsschicht)
- Nächste verfügbare IP-Adresse im Subnetz
Peer-Konfiguration herunterladen
Nach dem Erstellen stehen dir zwei Wege zur Verfügung:
Config-Datei:
- Klicke auf den Peer → Download Config
- Du erhältst eine
.confDatei die du in jedem WireGuard-Client importieren kannst
QR-Code:
- Klicke auf das QR-Code Symbol
- Scanne den Code mit der WireGuard-App auf deinem Smartphone
Peer-Konfiguration (Client-Seite)
Die heruntergeladene Config sieht so aus:
[Interface]
PrivateKey = <automatisch generiert>
Address = 10.8.0.2/32
DNS = 1.1.1.1, 8.8.8.8
[Peer]
PublicKey = <Server Public Key>
PresharedKey = <automatisch generiert>
Endpoint = dein-server.example.com:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25AllowedIPs Erklärung:
0.0.0.0/0— Gesamter Traffic über VPN (Full Tunnel)10.8.0.0/24— Nur Traffic zum VPN-Subnetz (Split Tunnel)
Für Reverse-Proxy-Nutzung reicht Split Tunnel (10.8.0.0/24), da nur der GateControl-Server die Peers erreichen muss.
WireGuard-Clients
Empfohlene Software nach Betriebssystem
| Betriebssystem | Client | Bemerkung |
|---|---|---|
| Windows | WireGuard for Windows | Offizieller Client, einfache Config-Import |
| macOS | WireGuard for macOS | App Store, Menüleisten-Integration |
| Linux | wg-quick (Paket wireguard-tools) | wg-quick up wg0 mit der .conf Datei |
| Android | WireGuard for Android | QR-Code oder Config-Import |
| iOS / iPadOS | WireGuard for iOS | QR-Code oder Config-Import |
| Synology NAS | docker-wireguard-go | Empfohlen für NAS-Systeme |
| Docker (allgemein) | docker-wireguard-go | Funktioniert auf jedem Docker-Host |
Client einrichten
Windows / macOS / Smartphone:
- WireGuard-App installieren
- "Tunnel hinzufügen" → Config-Datei importieren (oder QR-Code scannen)
- Tunnel aktivieren
- Fertig — der Peer erscheint in GateControl als "Online"
Linux:
# Config-Datei nach /etc/wireguard/ kopieren
sudo cp gatecontrol-peer.conf /etc/wireguard/wg0.conf
# Tunnel starten
sudo wg-quick up wg0
# Automatisch bei Boot starten
sudo systemctl enable wg-quick@wg0docker-wireguard-go — WireGuard für NAS & Docker
docker-wireguard-go ist unser eigenes Companion-Projekt für GateControl. Es ist ein Docker-Container der WireGuard als VPN-Client ausführt — speziell entwickelt für Synology NAS Systeme, aber kompatibel mit jedem Docker-Host.
Vorteile gegenüber anderen WireGuard-Clients:
| Feature | Kernel-WireGuard | Standard-Container | docker-wireguard-go |
|---|---|---|---|
| Kernel-Modul nötig | Ja | Ja | Nein |
SYS_MODULE Capability | Ja | Ja | Nein |
| Synology DSM kompatibel | Nein | Nein | Ja |
| Image-Größe | — | ~50-100 MB | ~8.5 MB |
| Performance | ~1+ Gbit/s | ~1+ Gbit/s | ~200-400 Mbit/s |
Einrichtung auf Synology NAS:
- Peer in GateControl erstellen und Config herunterladen
- Config-Datei auf die NAS kopieren (z.B. nach
/volume1/docker/wireguard/wg0.conf) - Container starten:
# docker-compose.yml
services:
wireguard:
image: ghcr.io/callmetechie/docker-wireguard-go:latest
container_name: wireguard
network_mode: host
cap_add:
- NET_ADMIN
volumes:
- /volume1/docker/wireguard/wg0.conf:/etc/wireguard/wg0.conf:ro
restart: unless-stopped- Container starten:
docker compose up -d - Prüfen:
docker exec wireguard wg show— sollte den Tunnel und Handshake anzeigen - In GateControl wird der Peer als "Online" angezeigt
Performance: Die Userspace-Implementierung erreicht ~200-400 Mbit/s — mehr als ausreichend für typische NAS-Anwendungen (Dateizugriff, Reverse Proxy, Medienstreaming).